Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04312

Опубликовано: 08 фев. 2024
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции remove_user_from_org (/api/{org_id}/users/{email_id}) платформы мониторинга журналов, метрик и трассировок OpenObserve связана с неправильным контролем доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и удалить пользователей системы

Вендор

OpenObserve Inc.

Наименование ПО

OpenObserve

Версия ПО

до 0.8.0 (OpenObserve)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.00072
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-25106

CVSS3: 9.1
nvd
почти 2 года назад

OpenObserve is a observability platform built specifically for logs, metrics, traces, analytics, designed to work at petabyte scale. A critical vulnerability has been identified in the "/api/{org_id}/users/{email_id}" endpoint. This vulnerability allows any authenticated user within an organization to remove any other user from that same organization, irrespective of their respective roles. This includes the ability to remove users with "Admin" and "Root" roles. By enabling any organizational member to unilaterally alter the user base, it opens the door to unauthorized access and can cause considerable disruptions in operations. The core of the vulnerability lies in the `remove_user_from_org` function in the user management system. This function is designed to allow organizational users to remove members from their organization. The function does not check if the user initiating the request has the appropriate administrative privileges to remove a user. Any user who is part of the orga

EPSS

Процентиль: 22%
0.00072
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2